https://www.informationsecurity.com.tw/seminar/2026_GOV/

新聞

FortiBleed 憑證竊取行動與 Lynx 勒索軟體集團有關,影響規模遠超原先估計

2026 / 07 / 02
編輯部
FortiBleed 憑證竊取行動與 Lynx 勒索軟體集團有關,影響規模遠超原先估計
大規模 FortiBleed 憑證竊取行動已確認與 INC 及 Lynx 勒索軟體即服務(RaaS)集團直接相關,顯示遭竊的 Fortinet 憑證可能被用於後續網路入侵。

事件始末

近日,一台存有逾 7.3 萬台 Fortinet 裝置竊取憑證的伺服器被發現暴露於網際網路。研究人員在該伺服器上發現已下載的 FortiGate 設定檔、從受害裝置竊取的憑證,以及用於破解密碼雜湊值以及執行憑證填充攻擊所用的基礎架構,此行動因此被稱為「FortiBleed」。

後續由 SOCRadar 進行的深入調查顯示,該行動在受害的 FortiGate 防火牆上部署了一款名為「FortiGate Sniffer」的客製化封包擷取工具,直接從網路流量中攔截 VPN 憑證及其他身分驗證資料。

與勒索軟體集團的連結

SOCRadar 威脅研究部門(STRU)最新研究將此憑證竊取行動直接與 INC 及 Lynx 集團成員連結。研究人員在調查 FortiBleed 基礎架構時,識別出一台 Windows 伺服器,並在對所收集的鑑識物件進行分析後,發現威脅行為者曾存取 Lynx 與 INC 兩個勒索軟體集團的談判面板(negotiation panel)。SOCRadar 提供的截圖顯示,瀏覽器工作階段中可見包含受害者對話紀錄的勒索談判儀表板。這為 FortiBleed 基礎架構的存取者同時參與勒索軟體集團談判平台提供了直接證據。

SOCRadar 也發現,FortiBleed 期間收割的受害者資訊,與後來被列於 INC 勒索軟體外洩網站上的組織存在重疊,並有跡象顯示該行動由約 20 名具有明確分工的成員組成。

攻擊規模遠超原先估計

根據 SOCRadar 的調查,此行動實際規模遠大於最初掌握的情況。攻擊目標涵蓋全球逾 43 萬台 FortiGate 防火牆,並在約 1.9 萬台裝置上部署了流量擷取工具。在通知受影響組織後,目前仍有約 1.1 萬台裝置處於受入侵狀態。研究人員也識別出約 500 台攻擊者使用的伺服器,以及另外逾 200 台原先未與此行動關聯的操作伺服器。

此外,研究人員相信攻擊者在初始入侵後,利用一個尚未公開的 Nextcloud 零日漏洞擴大存取範圍,但技術細節尚未釋出。SOCRadar 也在受害系統上發現使用帳號名稱「adminin」的持久性後門帳號,並持續嘗試取得勒索軟體的解密金鑰。

集團背景

INC Ransom 自 2023 年中期起以 RaaS 平台形式運作,攻擊目標遍及全球醫療、教育、政府等各個產業。Lynx 於 2024 年中期出現,資安研究人員研判其為 INC 勒索軟體集團的品牌重塑,而非新興的勒索組織。

SOCRadar 表示,包含入侵指標、歸因證據與額外技術分析的第二份技術白皮書,將在調查完成後發布。

本文轉載自 BleepingComputer。